Hallo, Forum
schlage vor, den Zugriff auf die Webseiten des Forums grundsätzlich auf https umzustellen.
Je mehr verschlüsselte Verbindungen über das Internet laufen, desto besser schützen wir auch unsere Privatspäre.
Soweit wie möglich, fahre ich sowieso nur noch alles verschlüsselt über das Internet oder benutze Proxies, wie z.B. startpage.com für das Suchen im Internet.
Das Forum sollte auch hier dazu beitragen, mit techn. Miteln die Privatspäre zu schützen.
Elektrolurch
Hallo Elektrolurch,
das einzige was geschützt ist, sind dann die MPs und die Einstellungsseiten ...
den Rest findet ganz einfach google und co
und google tracking ist auch aktiv
Und Logindaten ;)
Dass "nur" wenige Daten privat sind, ist aber kein Grund, auf eine Verschlüsselung zu verzichten...
Die verhindert ja auch sowas wie Manipulation z.B. Einfügen von Schadcode
Nicht zu vergessen, das es andere nichts angeht wer gerad welches Topic liest.
Zitat von: chris_z am 17 Juni 2015, 04:10:32
Nicht zu vergessen, das es andere nichts angeht wer gerad welches Topic liest.
ich bezweifle aber, das NSA & Co wirklich Interesse an dem Datenstrom haben wenn dieser sowieso "öffentlich" ist.
Und die Kosten für ein SSL Zertifikat sind leider auch nicht unerheblich.
Aber wenn es da ist ist es auf jeden Fall gut - wenn es nicht da ist ist mir das auch relativ egal
Die Inhalte dieser Seite sind zwar öffentlich, aber der Datenstrom enthält benutzerbezogene Daten...
Und zum Thema Kosten ;)
https://www.startssl.com/?app=1
https://letsencrypt.org
Das Umstellen auf https ist auch ein "Zeichen" gegen die Schnüffelei, quasi ein stiller Protest. Je mehr Webseiten umstellen, desto deutlicher wird dies. Ich schließe mich da mit meiner Meinung dem CCC an.
Ich würde zwar SSL befürworten, aber
Und die Kosten für ein SSL Zertifikat sind leider auch nicht unerheblich.
Gerade das dürfte das "Ende vom Projekt SSL" sein ..
Wenn man dem ganzen einen "wissenschaftlichen" Touch geben würde, gibt es bei DFN (Deutsches Forschungsnetz) Zertifikate für bis zu 5 Server umsonst.
Wie oben schon geschrieben bei Startssl gibts kostenlose.
Ein begründeter Anwendungsfall abseits von NSA & Co ist z.B. der Arbeitgeber oder wenn man mit anderen einen Anschluss teilt, die müssen nicht unbedingt im Detail sehen, was man grade liest.
Die IP vom Forum sieht noch jeder, aber was da genau geladen wird, kann man nicht mehr sehen.
Die FritzBox macht es einem ja z.B. auch sehr einfach an zentraler Stelle alles mitzuschreiben.....
Da wird Papa oder Mama oder noch viel besser der Nachwuchs mal ganz schnell zum NSA v3.0 Agenten und keiner kriegt's aus der Presse mit ::)
Zitat von: Virsacer am 16 Juni 2015, 22:57:34
Und Logindaten ;)
Für mich eigentlich schon einer Hauptgründe, SSL in Betracht zu ziehen. Es geht ja nicht unbedingt nur darum, dass man etwas zu verheimlichen/schützen hat, sondern sich evtl. auch in Netzwerken o. ä. befindet und befürchten muss, dass irgendjemand die Logindaten mitsnifft. Dadurch mag hier vielleicht kein großer Schaden entstehen, wenn man nicht gerade ein Passwort hat, das bei unzähligen anderen Diensten verwendet wird - dennoch muss es ja nicht sein, dass andere diese Daten kennen.
Und die Kosten sind m. E. kein Grund, da es sowohl kostenlose Zertifikate gibt auch Comodo-Zertifikate für unter 10 Euro pro Jahr. Die würden wohl selbst Leute aus der Community spenden, wenn es daran scheitern sollte.
Je mehr Datenverkehr verschlüsselt über das Internet läuft, desto schwerer macht man es den mithörenden "Freunden". Schon alleine das ist für mich ein Grund, dass alle Webseiten - Anbieter nur noch https anbieten sollten.
Elektrolurch
Sehe ich auch so. Alternativ könnte man ja auch CAcert nutzen, wenn es kostenlos sein sollte. Oder eben self-signed. Dann markiere ich das Zertifikat eben als "Trusted" und gut. Und ein Domain-Validated SSL Zertifikat gibt es auch schon für ca. 30€ Jahr. Da dürften die Hostingkosten wohl höher sein.
Verschlüsselung kostet auch CPU-Power. Und ob dafür die Infrastruktur ausreicht, kann wohl nur der Betreiber Martin Fischer beurteilen.
Leute, Leute....
Erstens kostet ein selbst ausgestelltes Zertifikat Null Euro.
Zweitens ist es ja wohl leicht daneben, diesem Forum einen "wissenschaftlichen Anstrich" geben zu wollen.
Drittens sind die zu diesem Forum (darum ja auch "Forum", es lebe die klassische Bildung...) gehörenden Daten ungefähr so geheimhaltungsbedürftig wie der Benzinpreis.
Viertens: Es steht jedem frei, seine "Zeichen" zu setzen. https für dieses Forum zu verwenden wäre aber genauso wichtig, wie mit Kreide auf die Straße vor der amerikanischen Botschaft zu schreiben "NSA is doof". Inklusive der Rechtschreibung...
LG
pah
Zitat:
Viertens: Es steht jedem frei, seine "Zeichen" zu setzen. https für dieses Forum zu verwenden wäre aber genauso wichtig, wie mit Kreide auf die Straße vor der amerikanischen Botschaft zu schreiben "NSA is doof". Inklusive der Rechtschreibung...
Wenn dies genügend Leute tun, dann wachen vielleicht auch die Verantwortlichen auf, spätestens dann, wenn es um die Wählerstimmen geht.
Vorratsdatenspeicherung, Abschaffung des Bargeldes.... und was kommt danach?
Meiner Meinung nach ist jeder verschlüsselte Datenverkehr im Internet auch ein Zeichen, sich das nicht gefallen zu lassen. Und es poppen ja auch schon wieder Diskussionen seitens der Politik hoch, Verschlüsselung ganz zu verbieten.
Elektrolurch
Warum sollte es ein "Zeichen" sein, den Datenverkehr dieses öffentlich zugänglichen Forums zu verschlüsseln? Das leuchtet mir nicht ein. Es gibt sicher Stellen an denen man Zeichen setzen kann. Das hier gehört nicht dazu und der Aufwand lohnt wenig bis garnicht.
Naja, ein Zeichen ist es bei diesem Forum wohl nicht, aber wie gesagt:
Forum (Threads, Posts) öffentlich
Benutzerkomunikation (Login, URL Requests, PMs) nicht öffentlich
Aufwand? 0 € + 10 Min...
Weil es eben nicht nur um den öffentlichen Inhalt geht. Es gibt ja auch Zugangsdaten die übermittelt werden, auch wenn ich für jede Seite ein extra Passwort habe.
Ein selbst signiertes Zertifikat ist unprofessionell, denn jeder Besucher, der das Zertifikat nicht in seinen Browser importiert hat, bekommt eine Warnmeldung auf eine potentiell unsichere Seite. Und um die Login_Daten zu schützen, müssten alle ihre Login-Daten ändern und auf keiner anderen Seite die nur mit http arbeitet verwenden. Und was ist mit dem Komfort des Auto-Login?
Eine Möglichkeit wäre es, nur die Login-Seite mit SSL zu versehen, aber ob das die Forensoftware hergibt...
Ich denke, als Zeichen wäre das nicht schlecht, aber den professionellen Lauschern an der Leitung zwingt das wohl nicht einmal ein müdes Lächeln ab. Zudem besteht die Gefahr, dass man die Aufmerksamkeit der Ermittler erst auf sich zieht, weil man ja scheinbar was zu verbergen hat.
Ich würde lieber die Schnüffler an Daten ersticken lassen. Wenn man jede Mail, jeden Post so mit einer Signatur versehen könnte, dass die Alarmglocken schrillen, dann wird es lustig. Aber einfach mit Stichworten wie Bombe, Dschihad o.ä. wird man das vermutlich noch nicht schaffen, da muss man sich wohl cleverer anstellen.
Ich habe übrigens nichts dagegen, wenn die deutschen Geheimdienste schnüffeln - dafür sind sie da. Aber das sollen sie gefälligst professionell machen und sich nicht erwischen lassen. Zudem müssen sie gleichzeitig die Deutschen vor den Schnüfflern aus dem Ausland schützen - egal woher die kommen und nicht diese noch bei ihrer Tätigkeit unterstützen.
Die Kosten sind übrigens u.U. nicht das Problem. Wir haben in einem anderen Forum Forensupporter, die jährlich gesucht werden und sich reichlich melden. Diese tragen die Forenkosten mit einem selbst gewählten Anteil und bekommen den Rang eines Forensupporters für das entsprechende Jahr. Darüber hinaus ergeben sich aus dem Support keine weiteren Rechte und Pflichten. Sobald die Kosten für das kommende Jahr zusammen sind, ist die Suche nach Supportern für ein Jahr beendet. Das dauert immer 1-3 Tage, dann ist die Nummer durch.
offen finanzierte Grüße
Niels
Zitat von: Virsacer am 31 Juli 2015, 10:33:32
Naja, ein Zeichen ist es bei diesem Forum wohl nicht, aber wie gesagt:
Forum (Threads, Posts) öffentlich
Benutzerkomunikation (Login, URL Requests, PMs) nicht öffentlich
Aufwand? 0 € + 10 Min...
Naja, Aufwand 10 Minuten ???
Nicht wirklich
bei der Größe des Forums sollte man schon ein wenig mehr Zeit investieren und die Lösung vielleicht auch vorher testen. Und dann muss die Änderung auch so sein, dass diese Updatefest ist ....
ZitatUnd was ist mit dem Komfort des Auto-Login?
Funktioniert auch über SSL ;)
ZitatEine Möglichkeit wäre es, nur die Login-Seite mit SSL zu versehen
Welchen Sinn soll Teilverschlüsselung haben? :o Dann kann mans auch ganz lassen :-\
ZitatIch würde lieber die Schnüffler an Daten ersticken lassen.
Die haben genug Speicherplatz :D
ZitatNaja, Aufwand 10 Minuten ???
Nicht wirklich
bei der Größe des Forums sollte man schon ein wenig mehr Zeit investieren und die Lösung vielleicht auch vorher testen. Und dann muss die Änderung auch so sein, dass diese Updatefest ist ....
Ob da nun eine statische Seite, das Forum oder eine monster Anwendung läuft ist wurscht...
Also Zertifikat auf den Server, Standard-URL in der Foren-Config auf https ändern, ein paar Zeilen in die Apache-Config einfügen und fertig 8)
Zitat von: Virsacer am 31 Juli 2015, 14:45:23
Funktioniert auch über SSL ;)
Zweifelsohne funktioniert Auto-Login auch mit SSL. Aber wie? Da wird ja ein leckerer Keks auf meiner Platte abgelegt. Und wenn ich überlege, was es schon alles für Aufregung über die (Un)Sicherheit von Cookies gab... Was wollte ich also schreiben? Mit dem Wunsch nach einer konsequent sicheren Kommunikation ist diese Funktion dahin!
Zitat von: Virsacer am 31 Juli 2015, 14:45:23
Welchen Sinn soll Teilverschlüsselung haben?
Absicherung der Zugangsdaten?!
[OT]
Zitat von: Virsacer am 31 Juli 2015, 14:45:23:-\Die haben genug Speicherplatz :D
Jo, das stimmt, aber alles was die Schnüffelprogramme letztendlich als relevant herausfiltern wird einem Menschen vorgelegt. Und dessen Arbeitskapazität ist endlich 8)
[/OT]
krümlige Grüße
Niels
Zitat von: Muschelpuster am 31 Juli 2015, 15:10:38
Zweifelsohne funktioniert Auto-Login auch mit SSL. Aber wie? Da wird ja ein leckerer Keks auf meiner Platte abgelegt. Und wenn ich überlege, was es schon alles für Aufregung über die (Un)Sicherheit von Cookies gab... Was wollte ich also schreiben? Mit dem Wunsch nach einer konsequent sicheren Kommunikation ist diese Funktion dahin!
Absicherung der Zugangsdaten?!
Die Zugangsdaten selbst stehen ja nicht im Cookie drin. Im Cookie selbst ist irgendein URL-encodiertes Objekt enthalten. Darin ist unter anderem die UserID und irgendein md5-Hash enthalten; es ist aber nicht der md5 vom Passwort. Vielleicht mit Salt? Keine Ahnung, wie die Forensoftware das standardmäßig macht. Ich bin auch nicht sicher, ob es funktionieren würde, den Cookie jetzt zu klauen und damit auf einem anderen System den Auto-Login durchzuführen. Dürfte aber ohne direkten Zugriff auf den Rechner egal sein, denn Cookies werden (wenn ich mich nicht täusche) ebenfalls verschlüsselt übertragen.
Zitat von: Muschelpuster am 31 Juli 2015, 11:18:24Wenn man jede Mail, jeden Post so mit einer Signatur versehen könnte, dass die Alarmglocken schrillen, dann wird es lustig.
Wenn Du es lustig findest, dass dann aufgrund deiner Metadaten irgendwo eine Drohne startet, die das Problem ohne Möglichkeit einer Rechtfertigung erledigt, OK!?
Zitat:
Zitat von: Muschelpuster am Heute um 11:18:24
Wenn man jede Mail, jeden Post so mit einer Signatur versehen könnte, dass die Alarmglocken schrillen, dann wird es lustig.
Wenn Du es lustig findest, dass dann aufgrund deiner Metadaten irgendwo eine Drohne startet, die das Problem ohne Möglichkeit einer Rechtfertigung erledigt, OK!?
Und jeder der verschlüsselt überträgt macht sich auch noch verdächtig....
Liebe Leute, wenn alle verschlüsseln, sind alle verdächtig oder in welche "fremd kontrollierte" Zukunft wollen wir steuern, in der einige wenige von "vorgeblich demmokratisch legetimierten Regierungen" Geheimdienste unser Denken beeinflussen und kontrollieren.... Das "globale Dorf" Internet wird doch gerade echt durch genau die Abhöraktivitäten und die Angst davor aufzufallen kaputt gemacht.
Alleine schon davor Angst zu haben, dass wenn man seine Datenverbindungen im Internet verwschlüsselt, sich verdächtigt macht, ist doch NUR NOCH TRAURIG!!!
Vielleicht sollte man auch die Verwendung von Briefumschläge sanktionieren und nur noch Postkarten zulassen?
Webseiten verschlüsseln ist da meiner Meinung nach einfach ein Zeichen, wikipedia macht es doch vor....
Ihr könnt diesen Unsinn natürlich machen. Ich ziehe es vor, meine Aktivitäten für ein freies und sicheres Netz dort zu entfalten, wo sie etwas bewirken.
pah
früher oder später wird sowieso alles https sein ....
http://www.heise.de/newsticker/meldung/Mozilla-will-HTTP-ausrangieren-2631303.html
Diese scheiß Tracker gehen stören mich viel mehr
mal das heise.de als Beispiel
Hallo pah,
was "pah" bedeutet, hat ja schon jemand hier im Forum bei wikipedia nachgeschlagen....
Leider scheint mein "englich" zu schlecht zu sein, so dass ich Deinen "tred" nicht verstehe:
Zitat:
Ihr könnt diesen Unsinn natürlich machen. Ich ziehe es vor, meine Aktivitäten für ein freies und sicheres Netz dort zu entfalten, wo sie etwas bewirken.
Wenn Du schon so überschlaue Sachen schreibst, könntest Du uns dann bitte auch an Deinem Wissen teilhaben lassen?
Handelt es sich dabei um ein "pah-extra-net"?
Mit dieser Aussage diskreditierst Du alle, die ihre Webseiten in den letzten Monaten auf Verschlüsselung umgestellt haben. Die scheinen alle auf der Autobahn auf der falschen Spur zu fahren, wenn man den Unsinn von Dir hier liest.
Verehrter Professor Peter Henning: Wenn Du etwas besser weiß, dann denke bitte daran, das ein Forum nicht zur Selbstdarstellung dient, sondern um Wissen zu teilen. Leider sind viele viele Beiträge von Dir hier aber eher in der Richtung: Ich weiß es besser, sag es aber nicht, aber die anderen sind die Deppen.
Ich werde daher zukünftig Deine Beiträge nicht mehr lesen, da bislang meist wenig hilfreich.
Zurück zum Thema:
Richtig trifftige Gründe das Forum über https zukünftig nicht anzubieten, habe ich bisher hier nicht gelesen, bis auf den möglichen Aufwand.
Schlage daher eine Umfrage vor.
Elektrolurch
Und ich schlage vor, keine Umfrage zu machen. Dein Vorschlag ist platziert und Punkt. Lass die Leute, die das Forum hier bereitstellen, sich in Ruhe überlegen, ob sie das wollen.
Ich sage an dieser Stelle mal ganz herzlichen Dank, was ihr als Betreiber an Zeit und Ressourcen investiert, um uns diesen Service bereitzustellen. Danke!
Inkompetente Leute zeichnen sich dadurch aus, dass sie nicht über eine Sache diskutieren können - sondern als letzten Ausweg immer persönlich werden müssen.
LG vom Seeufer
pah
Zitat Beitrag 27
Ihr könnt diesen Unsinn natürlich machen. Ich ziehe es vor, meine Aktivitäten für ein freies und sicheres Netz dort zu entfalten, wo sie etwas bewirken.
Inkompetente Leute zeichnen sich dadurch aus, dass sie nicht über eine Sache diskutieren können - sondern als letzten Ausweg immer persönlich werden müssen.
Schön, vielleicht führt ja Selbsterkenntnis mal auch zur Besserung und jetzt ist Schluß mit dem Kindergarten.
Ich bin mir nicht sicher, wieviele von den hier SSL befürwortenden tatsächlich mit Webhosting zu tun haben. Das Zertifikat ist die geringste Hürde, aber dann folgen (mehr als 10min) Einrichtung, Wartung, zusätzliche technische Hürden wie einzelne IP pro Zertifikat, mehr Power bei vielen Zugriffen, mehr Aufwand bei der Fehlersuche,... So schön das für einige Sachen wie Webmailer oder so ist, hier halte ich es für vertretbar, wenn derjenige, der seine Kraft und Geld reinsteckt, das für sinnvoll erachtet.
Und noch 2 Argumente dagegen:
1. Von nicht jedem Hotspot wird das Protokoll https unterstützt (z.B. bei Hornbach- heute gerade festgestellt)
2. Mehr CPU Bedarf mehr Strom - client- und serverseitig. Mehr Strom ist unökologisch. Wollen wir das?
Gesendet von iPhone mit Tapatalk - Tippfehler sind gratis.
Offtopic, daher getrennt vom vorherigen Inhalt:
Nicht immer paranoid sein und jeden Tracker sofort ausblenden. Am Beispiel von heise.de sollte VG-Wort an bleiben. Denn über den Pixel werden die Zugriffe für die Autorenvergütung der VG Wort erfasst und ich selbst als Autor bin sauer, wenn Besucher meiner Seiten die Inhalte kostenlos konsumieren, mir dann aber auch die Vergütung über die Umlage der VG-Wort vermiesen...
Gesendet von iPhone mit Tapatalk - Tippfehler sind gratis.
Eben. "Unsinn" bezieht sich auf die Sache, und wurde mit persönlicher Beleidigung beantwortet. Wer den Unterschied nicht versteht ...
@AitschPi:So sehr ich selbst von der VG Wort profitiere, so wenig toleriere ich diese Schnüffelei. Die übrigens nachweisbar leicht zu missbrauchen ist.
Weder den Energieverbrauch,noch die CPU-Last kann ich als Argumente so richtig ernst nehmen. Beides sind volartile Faktoren, die sehr schnell irrelevant werden. Der Killer ist eindeutig die fehlende Relevanz.
LG
pah
"fehlende Relevanz"
würde ich so nicht sagen. Das die Grundsätzliche Überlegung im Netz ist, ALLES zu Verschlüsseln, dürfte vielen aufgefallen sein.
Deshalb wäre eigentlich SSL für dieses Forum auch wichtig. Wenn nicht da die Arbeit des Einrichtens wäre.
Kurzgefasst:
meine Meinung ist: "fehlende Relevanz" ist ein Stammtischargument .. und das ist jetzt nicht positiv gemeint.
Nein, das ist das Argument aus der professionellen Ecke - Stammtische besuche ich nicht.
Wenn ich ein Sicherheitskonzept für ein Unternehmen entwickele, steht am Anfang die Analyse: Was ist wie wichtig. Dann kommt die Frage, wer das wie gefährden kann. Und erst am Ende die notwendigen und hinreichenden Maßnahmen.
Eine pauschale Einstufung "alles verschlüsseln" ist wenig hilfreich, weil sie den klaren Blick auf die echten Gefahren verstellt.
Das kann ich an einem einfachen Beispiel erläutern: Wer sich hier um seine Zugangsdaten Sorgen macht, tut das vermutlich nicht, weil er glaubt, jemand anders könnte in seinem Namen eine falsche Anleitung posten. Sondern weil er dieselben Daten aus purer Bequemlichkeit irgendwo anders noch einmal verwendet hat. Das aber ist heute eines der wesentlichen Sicherheitsrisiken - und das wird nicht ausgeschaltet, indem ein Portal auf https umgestellt wird.
LG vom Seeufer
pah
Zitat von: AitschPi am 01 August 2015, 11:27:59
Ich bin mir nicht sicher, wieviele von den hier SSL befürwortenden tatsächlich mit Webhosting zu tun haben. Das Zertifikat ist die geringste Hürde, aber dann folgen (mehr als 10min) Einrichtung, Wartung, zusätzliche technische Hürden wie einzelne IP pro Zertifikat
Zumindest ich habe das tatsächlich. Wenn nur der Webserver abgesichert werden soll, mag die manuelle Einrichtung vielleicht mehr als 10 Minuten dauern, wenn man als Kunde nicht irgendwo gerade ein Interface ala Plesk zur Verfügung hat. Dürfte dennoch weniger als eine Stunde in Anspruch nehmen. Wartung? Eigentlich nur, wenn das Zertifikat abgelaufen ist, aber was fällt da sonst großartig für zusätzliche Wartung an? Und dank SNI werden separate IP-Adressen für Zertifikate nichts zwangsläufig benötigt. Zumindest Webserver unterstützen das, Client-seitig sehe ich da eigentlich auch keine Probleme.
Ich kann nicht beurteilen, wie wichtig den Betreibern des Forums hier die Suchmaschinensichtbarkeit ist.
Falls diese aber relevant ist, dann ist "fehlende Relevanz" kein Argument mehr, weder auf dem Stammtisch noch auf professionelem Niveau:
HTTPS as a ranking signal (http://googlewebmastercentral.blogspot.de/2014/08/https-as-ranking-signal.html)
Viele Leite benutzen aus Bequemlichkeit das selbe Passwort für viele Webdienste. Statistisch muss man davon ausgehen das das 90% der Nutzer betrifft. Die Passwörter von aktuell 13801 Nutzern find ich ziemlich Relevant. Zumal bei 90% davon warscheinlich noch deutlich mehr Zugänge dran hängen als nur der zum fhem Forum.
Ich bin fuer Verschluesselung... +1
Markus
PS: ich frage mich gerade ob die Erfindung des Haustuerschlosses ebenso kontrovers "diskutiert" wurde... ;D
Zitat von: av3nger am 31 Juli 2015, 19:30:08
Die Zugangsdaten selbst stehen ja nicht im Cookie drin. Im Cookie selbst ist irgendein URL-encodiertes Objekt enthalten. Darin ist unter anderem die UserID und irgendein md5-Hash enthalten; es ist aber nicht der md5 vom Passwort. Vielleicht mit Salt? Keine Ahnung, wie die Forensoftware das standardmäßig macht. Ich bin auch nicht sicher, ob es funktionieren würde, den Cookie jetzt zu klauen und damit auf einem anderen System den Auto-Login durchzuführen. Dürfte aber ohne direkten Zugriff auf den Rechner egal sein, denn Cookies werden (wenn ich mich nicht täusche) ebenfalls verschlüsselt übertragen.
Genau. Wie die Daten im Cookie nun abgelegt werden, ist Sache der Webseite. Wenn man ein Cookie auf einen anderen PC kopiert, ist man auch dort eingeloggt. Auch wenn die Daten im Cookie normalerweise "unlesbar" gespeichert werden, werden sie unverschlüsselt übertragen (außer man verwendet SSL) und können dementsprechend abgefangen werden.
Zitat von: AitschPi am 01 August 2015, 11:27:59
Ich bin mir nicht sicher, wieviele von den hier SSL befürwortenden tatsächlich mit Webhosting zu tun haben. Das Zertifikat ist die geringste Hürde, aber dann folgen (mehr als 10min) Einrichtung, Wartung, zusätzliche technische Hürden wie einzelne IP pro Zertifikat, mehr Power bei vielen Zugriffen, mehr Aufwand bei der Fehlersuche,...
Die Einrichtung ist einmalig und geht ruckzuck - die "Wartung" ist das Austauschen des (fast) abgelaufenen Zertifikats...
Und testen kann man alles hiermit: https://www.ssllabs.com/ssltest/index.html
Einzelne IP? Falls auf dem Server tatsächlich mehrere Seiten liegen (und das Zertifikat nicht für mehrere Domains ist), gibts immer noch SNI ;)
Zitat von: AitschPi am 01 August 2015, 11:27:59
1. Von nicht jedem Hotspot wird das Protokoll https unterstützt (z.B. bei Hornbach- heute gerade festgestellt)
2. Mehr CPU Bedarf mehr Strom - client- und serverseitig. Mehr Strom ist unökologisch. Wollen wir das?
Sollte aber selten sein, und wenn https geblockt wird, sollte einem das auch zu denken geben :o
Ich will nicht bestreiten, dass Verschlüsselung auch Rechenaufwand benötigt, aber wenn ich an http://ieeexplore.ieee.org/xpl/login.jsp?tp=&arnumber=1541355&url=http%3A%2F%2Fieeexplore.ieee.org%2Fiel5%2F10348%2F32912%2F01541355 denke, kann das jetzt auch nicht sooo viel sein...
Zitat von: Wernieman am 01 August 2015, 16:58:22
Das die Grundsätzliche Überlegung im Netz ist, ALLES zu Verschlüsseln, dürfte vielen aufgefallen sein.
Ja, der Trend, alles zu Verschlüsseln, ist eindeutig. Google, Mozilla und co haben da was angestoßen :)
Zitat von: Virsacer am 04 August 2015, 11:35:12
Ja, der Trend, alles zu Verschlüsseln, ist eindeutig. Google, Mozilla und co haben da was angestoßen :)
Die Idee dahinter ist ja:
Jede Verschlüsselung ist knackbar, aber mit Aufwand. Wenn jetzt alles verschlüsselt wird, muß der Angreifer auch alles entschlüsseln um an relevante Daten zu kommen. Da dabei eben auch die Uninteressanten ,....
Wenn dagegen, wie schon angesprochen, nur die Wichtigen Daten verschlüsselt werden ...... kann sich jeder die Folgen ausdenken ...
Zitat:
Ja, der Trend, alles zu Verschlüsseln, ist eindeutig. Google, Mozilla und co haben da was angestoßen :)
Die Idee dahinter ist ja:
Jede Verschlüsselung ist knackbar, aber mit Aufwand. Wenn jetzt alles verschlüsselt wird, muß der Angreifer auch alles entschlüsseln um an relevante Daten zu kommen. Da dabei eben auch die Uninteressanten ,....
Das Sicherheitsproblem ist halt nicht nur lokal als "Sicherheitskonzept für ein System" zu betrachten (old school), sondern auch global.
Das ist genau der Grund, warum ich diesen "tret" hier aufgemacht habe. Leider gibt es aber Leute, die die Ignoranz haben, das als "Unsinn" zu bezeichnen und anders denkende somit zu beleidigen.
Das die Verwendung von Verschlüsselung einen gewissen Mehraufwand darstellt, habe ich gerade vor fünf Minuten wieder mal erfahren dürfen.
Einer unserer Admins hatte sich gemeldet, weil ein Kundebeim Aufruf einer unserer Webseiten eine Fehlermeldung (Hinweis auf Sicherheitslücke) bekommen hatte.
Ursache war folgende Einstellung am Webserver:
Cipher : EDH-RSA-DES-CBC3-SHA
Der Einsatz von Verschlüsselung auf dem Webserver des Forums wird sicher auch einen erhöhten Pflegeaufwand mit sich bringen, um bekannt gewordene Sicherheitslücken zu patchen.
ZitatDas kann ich an einem einfachen Beispiel erläutern: Wer sich hier um seine Zugangsdaten Sorgen macht, tut das vermutlich nicht, weil er glaubt, jemand anders könnte in seinem Namen eine falsche Anleitung posten. Sondern weil er dieselben Daten aus purer Bequemlichkeit irgendwo anders noch einmal verwendet hat. Das aber ist heute eines der wesentlichen Sicherheitsrisiken - und das wird nicht ausgeschaltet, indem ein Portal auf https umgestellt wird.
Möchte mal Konrad Adenauer zitieren:
ZitatNehmen Sie die Menschen, wie sie sind, andere gibt's nicht.
Sicher ist https nicht die ultimative Lösung.
Nun möchte ich Laotse zitieren:
ZitatAuch der längste Marsch beginnt mit dem ersten Schritt.
Conclusio:
Sicher wäre es schlauer den Menschen beizubringen unterschiedliche Passwörter für jeden Dienst zu nutzen. Bis wir damit fertig sind, fangen wir halt mal mit https an wo es geht. :)
Der Ersteller des Threads behauptet aber, damit "globalen Trends" zu folgen und "Zeichen zu setzen". No ja, wenn eine kleine Eidechse unbedingt behaupten möchte, mütterlicherseits ein Dinosaurier zu sein - lassen wir ihr den Spaß.
LG
pah
Zitat:
Der Ersteller des Threads behauptet aber, damit "globalen Trends" zu folgen und "Zeichen zu setzen". No ja, wenn eine kleine Eidechse unbedingt behaupten möchte, mütterlicherseits ein Dinosaurier zu sein - lassen wir ihr den Spaß.
(tret hatte ich geschrieben, weil pah so gerne "tret"en tut)
Lieber Prof. Dr. Peter Henning,
wenn jemand in einem Forum schon mit seinem Titel wirbt, sollte er sich auch entsprechend der akademischen Gepflogenheiten benehmen und nicht hier mit absolut unqualifizierten Beiträgen den anständigen Leuten auf die Nerven gehen.
Ich finde es nicht statthaft, dass Du, lieber Prof. Dr. Peter Henning, hier im Forum absolute Spitzenentwickler wegen Fehler im Englisch ihrer Modulbeschreibung (Multimedia) angehest, noch das Du andere Mitglieder dieses Forums in anderen Beiträgen über Dinge meinst belehren zu müssen, die a) noch nicht mal richtig von Dir dargestellt wurden b) so abgefasst waren, als wären alle anderen die Deppen (z.B. diese als "Unsinn" zu bezeichnen) und Du der einzige Held auf dieser Welt bist. Suche Dir doch bitte eine andere Plattform für Deine Selbstdarstellung.
Ich habe jetzt mal durchgeschaut, was Du so hierim Forum von Dir gegeben hast....
...meist wenig erhellend, aber immer sehr belehrend und schon im Bereich desKindergarten anzusiedelen.
Dabei hast Du mit Deinen Beiträgen viele Leute vor den Kopf geschlagen und negative Kritik geerntet. Sollte Dir das nicht mal zu denken geben?
Da dies Forum ja öffentlich ist und auch über Suchmaschinen gefunden wird, werden auch Deine Beiträge möglicherweise von Deinen Studenten, falls Du überhaupt Lehre praktizierst, gelesen.
Zitat:
wenn ein kleiner Professor unbedingt behaupten möchte, mütterlicherseits ein großer Gelehrter zu sein - lassen wir ihm den Spaß und ignorieren wir seine Beiträge.
Und immerhin haben kleine Eidechsen schon so manches große Bauprojekt in die Knie gezwungen - ganz im Gegensatz zu den Dinosaurieren...
Hallo Zusammen,
ZitatUnd ich schlage vor, keine Umfrage zu machen. Dein Vorschlag ist platziert und Punkt. Lass die Leute, die das Forum hier bereitstellen, sich in Ruhe überlegen, ob sie das wollen.
Da es sich ja hier um einen kostenlosen Dienst handelt, kann man hier nur den Betreiber einen Gedankenanstoß geben. Ich würde persönlich mindestens eine sichere Übertragung von Kennworten erwarten und das obwohl ich viele verschiedene Kennworte verwendet. Aber die Menge der erfassten Daten gibt die Möglichkeit auf andere Kennworte zu kommen. Es sei denn man verwendet einen Kennwortgeneration und hat dann ein Master-Kennwort lokal. Nur gibt man dann plötzlich einem Programm die gesamte Information über seine Zugriffsberechtigung (lohnendes Angriffsziel).
Wie man die technische Sachlage sieht, liegt natürlich im Auge des Betrachters immer anders.
So ist z.B. die Sache mit "pah"
ZitatDa dies Forum ja öffentlich ist und auch über Suchmaschinen gefunden wird, werden auch Deine Beiträge möglicherweise von Deinen Studenten, falls Du überhaupt Lehre praktizierst, gelesen.
Hier schützt "pah" die Menge der Einträge über Ihn im Internet (aktive und bekannte Personen haben entsprechend viele Einträge, da werden Suchergebnisse des Forums wenn überhaupt auf der X ten Seite angezeigt und interessieren eigentlich niemand) vor den nicht immer ganz geglückten Einträge hier im Forum (es sind auch gute Sachbeträge vorhanden und ja ich beobachte selber die Art der Antworten). Welche Auswirkungen ein finden solcher Einträge für pah hätte, muss er selber abschätzen.
An diesem Beispiel kann man sehen, das die Menge der Daten, eine entsprechende Auswertung schwer macht, aber nicht unmöglich.
Was die Verschlüsselung angeht, würde ich aber die Kennworte mindestens gesichert übertragen, da diese Art der Programmierung nicht mehr "State of the Art" ist, aber leider immer noch praktiziert wird.
Viele Grüße
R.
Edit: Beispiel der Datenmenge besser verdeutlich.